https前端

『壹』 前端是否需要對密碼進行加密傳輸 && HTTPS

最近學習node，寫demo登陸和注冊功能的時候因為要考慮後台的加密和安全所以也想了下前端的，前端傳輸密碼的時候是否應該加密之後再傳輸呢
看了一些網站的登陸，csdn、等是明文傳輸，但騰訊、網路這些一線大站是經過前端加密的，看了些大佬的文章，順便自己搬個凳子記個筆記

前端的加密本身不能對網站的安全性有任何提高功能，所有的關於網站的安全技術都應該放在後台，但是這也不是完全沒有意義，可以增加攻擊成本，盡可能降低攻擊帶來的損失，畢竟丟了密文比丟了明文要強，而且犯罪分子技術參差不齊，簡單的加密能夠攔截很大一部分菜鳥，至於高手。。。

最後看到比較統一的是隱秘信息傳輸應該使用https

這篇文章只是想弄懂流程和原理，不會去糾結具體的術語

HTTP協議以明文方式發送內容，不提供任何方式的數據加密，處在同一網路中的其它用戶可以通過網路抓包來竊取和篡改數據包的內容，甚至運營商或者wifi提供者，有可能會篡改http報文，添加廣告等信息以達到盈利的目的

可以通過和SSL(Secure Socket Layer，安全套接層)組合使用來為瀏覽器和伺服器之間的通信加密。在這條加密線路上進行通信的http被稱為HTTPS（HTTP Secure，超文本傳輸安全協議）。

SSL證書（Secure socket layer），就是遵守SSL協議，由受信任的數字證書頒發機構CA頒發，主要用來提供對用戶瀏覽器和伺服器的認證，對傳送的數據進行加密和隱藏，確保數據在傳送中不被改變保證數據的完整性，加密方式為「非對稱加密」和「對稱加密」。

1、用戶連接到你的Web站點，該Web站點受伺服器證書所保護

2、你的伺服器進行響應，並自動傳送你網站的數字證書給用戶，（瀏覽器內置一個受信任的機構列表和這些機構的證書）用戶的瀏覽器查看該證書是否存在於瀏覽器的受信任機構列表中，並且通過伺服器證書中的信息與當前正在訪問的網站（域名等）是否一致來鑒別你的網站，鑒別沒成功會提醒用戶是否繼續該訪問

3、鑒別成功後，用戶的瀏覽器產生一把唯一的會話鑰匙，用以跟網站之間所有的通訊過程進行加密，會話密鑰是隨機生成，每次都會有不一樣的結果，

4、使用者的瀏覽器以網站的公鑰對交談鑰匙碼進行加密，以便只有讓你的網站得以閱讀此交談鑰匙碼

1、使用HTTPS協議可認證用戶和伺服器，確保數據發送到正確的客戶機和伺服器；

2、HTTPS協議是由SSL+HTTP協議構建的可進行加密傳輸、身份認證的網路協議，要比http協議安全，可防止數據在傳輸過程中不被竊取、改變，確保數據的完整性。

3、HTTPS是現行架構下最安全的解決方案，雖然不是絕對安全，但它大幅增加了中間人攻擊的成本。

4、谷歌曾在2014年8月份調整搜索引擎演算法，並稱「比起同等HTTP網站，採用HTTPS加密的網站在搜索結果中的排名將會更高」。

1、HTTPS協議握手階段比較費時，會使頁面的載入時間延長近50%

2、HTTPS連接緩存不如HTTP高效，會增加數據開銷和功耗，甚至已有的安全措施也會因此而受到影響；

3、SSL證書需要錢，功能越強大的證書費用越高

4、SSL證書通常需要綁定IP，不能在同一IP上綁定多個域名

5、HTTPS協議的加密范圍也比較有限，在黑客攻擊、拒絕服務攻擊、伺服器劫持等方面幾乎起不到什麼作用。最關鍵的，SSL證書的信用鏈體系並不安全，特別是在某些國家可以控制CA根證書的情況下，中間人攻擊一樣可行。

知乎各位大佬的回答 https://www.hu.com/question/25539382
HTTP與HTTPS的區別 https://www.cnblogs.com/wqhwe/p/5407468.html

『貳』 求教，使用https鏈接，證書需要配置在最前端的nginx嗎

https證書需要配置在最前端的伺服器上
如果nginx位於整體伺服器最前端，需要配置到nginx上
如果nginx前面還有CDN，則需要在CDN節點上配置，也就是說只要用到https訪問的，都需要配證書，CDN和nginx可以通過http，這樣不用在nginx上配證書，否則nginx同樣需要配

『叄』 前端網路高級篇（一）HTTPS

HTTP是Web中常見的通信方式，無狀態，簡單易用。當然，它的不足之處也非常明顯：

為了解決HTTP協議的痛點，採用通信加密的方式，繼而出現HTTPS協議。

HTTPS其實是有兩部分組成： HTTP + SSL / TLS ，也就是在HTTP上又加了一層處理加密信息的模塊。
服務端和客戶端的信息傳輸都會通過TLS進行加密，所以傳輸的數據都是加密後的數據。

加密技術有兩種：

https採用共享密鑰加密和公開密鑰加密兩者並用的混合加密機制 ，具體加密方式參考第二節。

SSL不僅提供加密處理，而且使用證書，來確定對方的非偽裝的。

證書是由值得信任的第三方機構頒發，用以證明伺服器和客戶端是實際存在的。

HTTP+加密+認證+完整性保護=HTTPS 。上節提到，「https採用共享密鑰加密和公開密鑰加密兩者並用的混合加密機制」，解釋一下，就是用公開密鑰加密 傳遞密鑰 ，用共享密鑰加密演算法 加密報文內容 。

為什麼HTTPS要採用混合加密呢？
因為公開密鑰加密的處理速度要遠遠慢於共享密鑰加密，所以，在通信最頻繁的環節 - 「報文加密」，採用了共享密鑰。那麼，更加安全的公開密鑰加密，就非常適合「報文密鑰」的傳遞來。

具體加密，解密，驗證步驟如下：

『肆』 nginx配置ssl使用https(解決前端跨域問題)

想要使用https訪問nginx上部署的項目首先得有ssl證書，ssl證書可以去阿里雲或騰訊雲之類的平台購買，兆灶尺族高當然也有免費的。我這里貼出nginx的相關配置來支持https訪問，如果不知道怎樣配置或者搞不清楚原理的朋友就直接照搬我的這部分server配置就行。
PS：nginx需要安裝ssl模塊，如果使用docker啟動的nginx則已經有了不需辯埋要安裝。

這里不僅配置了https對於nginx的訪問，還配置了代理來訪問後端介面，所以前端在做請求時，請求的地址應該寫為 https://www.abc123.com/api/ +介面地址，這樣前端就能使用https來訪問到後端的介面了。

順便貼一個把http重定向為https的配置

『伍』 https前端怎麼加密

HTTPS加密需要辦理SSL證書，並且安裝到獨立伺服器，實現前段HTTPS。網頁鏈接

『陸』 nginx解決https前端無法連接mq(ws)

常規http訪問的地址下

var ws = new WebSocket('ws://ip:port/ws')

如果使用埋帆https，則提示需要使用wss

解決辦彎罩雹法：nginx在1.3版本以後支持websocket協悶森議，websocket連接進入的時候，進行一個連接升級將http連接變成websocket的連接

server {

listen 443;

        server_name 域名;

        ssl on;

        ssl_certificate /root/ssl/1.crt;

        ssl_certificate_key /root/ssl/2.key; 

        ssl_session_timeout 5m;

        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

        ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;

        ssl_prefer_server_ciphers on;

        location /ws {

            proxy_pass http://ip:61614; # 代理mq

            proxy_read_timeout 60s;

            proxy_http_version 1.1;

            proxy_set_header Upgrade $http_upgrade;

            proxy_set_header Connection 'Upgrade';

  }

前端頁面使用： var ws = new WebSocket('wss://{域名}/ws'); 即可

『柒』 http怎麼與https緩存公用前端

http與https緩存公用前端具體解釋如下。
HTTP：HTTP(HperTextTransferProtocol)超文本傳輸協議，是用於從萬維網（WWW:WorldWideWeb）伺服器傳輸超文本到本地瀏覽器的傳送協議。
HTTP是一個基於TCP/IP通信協議來傳遞數據（HTML文件,圖片文件,查詢結果等）它是TCP/IP協議的一個應用層協議，用於定差戚義WEB瀏覽器與WEB伺服器之間交換數據的過虛茄陵程。
HTTPS()安全超文本傳輸協議，是以安納核全為目標的HTTP通道，簡單講是HTTP的安全版，即HTTP下加入SSL層，HTTPS的安全基礎是SSL，因此加密的詳細內容就需要SSL。這是帶有加密的HTTP，它確保了在計算機和伺服器之間通過互聯網傳輸的所有數據都是安全的，這是通過使數據不可讀來實現的，也就是通過使用加密演算法來打亂傳輸的數據。

『捌』 對於前端來說http與https請求有區別么

對於前端用戶來說，訪問http網站可能會收到「網站不安全」、「連接不私密」等等安全警告，影響正常訪問，如果是電商網站還會影響購買行為。而https網站因為安裝了SSL證書，比較安全，受瀏覽器信任，不會彈出安全警告，能建立用戶信任等。建議去數安時代申請SSL證書，兼容性比較好。

『玖』 https 前端做請求需要做什麼處理嗎

如果是新改的https的話，需要對之前的http做301跳轉；
然後在站長平台提交一下https；
以後發鏈接都用https的。

『拾』 前端面試01：說一下 http 和 https

https 的 SSL 加密是在傳輸層實現的。

(1)http 和 https 的基本概念

https 協議的主要作用是： 建立一個信息安全通道，來確保數組的傳輸，確保網站的真實性。

(2)http 和 https 的區別？

http 傳輸的數據都是未加密的，也就是明文的，網景公司設置了 SSL 協議來對 http 協議傳輸的數據進行加密處理，簡單來說 https 協議是由 http 和 ssl 協議構建的可進行加密傳輸和身份認證的網路協議，比 http 協議的安全性更高。

主要的區別如下：

(3)https 協議的工作原理

(4)https 協議的優點

谷歌曾在 2014 年 8 月份調整搜索引擎演算法，並稱「比起同等 HTTP 網站，採用 HTTPS 加密的網站在搜索結果中的排名將會更高」。

(5)https 協議的缺點